建立在公钥密码体制上的公钥基础设施PKI以身份证书管理为核心，能够为应用提供身份鉴别、机密性、完整性和不可否认性服务。随着应用的不断深入和网络安全技术的发展，人们对细粒度化的访问控制和安全性的要求也在不断提高，特权管理基础设施PMI分离了PKI身份证书中身份持久性和权限短暂性的突出矛盾，提供更严格、高效、便捷的访问控制机制。PMI作为PKI的逻辑扩展，建立在PKI的身份认证基础上，采用基于角色的访问控制技术，以属性证书作为权限的载体，向用户和应用提供授权管理服务和细粒度的访问控制。 本文论述了公钥基础设施PKI和特权管理基础设施PMI的相关技术原理，在基于公钥基础设施PKI的身份证书管理系统下，构建和实现一个基于角色访问控制技术RBAC的PMI系统，分析了XML访问控制策略制定、属性证书AC及权限分配、访问控制判决ADF和访问控制执行AEF的组织架构和实现。本论文重点讨论了PMI体系下的访问控制判决技术，即用户提交身份证书和访问请求后，如何根据访问控制策略和用户属性证书做出允许或拒绝的判决结果。访问控制判决的实现主要分为策略解析、访问凭证获取和访问判决等三部分。策略解析后按信任机构源点的DN名存储授权角色并设置其层次关系供用户获取访问凭证，按行为名存储可以执行该行为的目标域、授权角色及时间限制等访问规则以用于访问判决。